전사적 리스크관리(Enterprise Risk Management, ERM)란?
전사적 리스크관리
(Enterprise Risk Management, ERM)
1. 의미
리스크 관리의 첫 단추는 리스크에 대한 개념을 전사(全社)차원에서 공유하는 것이다 누구나 리스크라는 표현을 쓰고는 있지만 리스크의 개념을 서로 다르게 이해할 수도 있고 부서 간에 의견이 일치되지 않을 수도 있다 리스크 자체에 대한 정의가 공유되지 않은 상황에서 리스크 관리를 수행하는 것은 동상이몽(同床異夢)에 불과하다. 리스크 관리는 전사적으로 내재되어 있는 리스크를 표면으로 드러내어 지속적으로 대응할 수 있는 틀을 제공하고 전 구성원이 공통된 언어(Common Language)로 활용할 수 있어야 한다 몇 년 전부터 대내외 경영환경의 불확실성의 증가와 더불어 전 세계적인 리스크 기준 강화가 되어 기존의 전통적인 리스크 관리에서 새로운 관리 방식이 필요로 하게 되었고. 그때 마침 전사적 리스크관리(ERM)가 등장하였다
전사적 리스크관리(ERM)에서 말하는 리스크는 단순한 불확실성이 아니라 조직의 전략적, 업무적, 또는 재무적 ‘목표’를 달성하는데 영향을 줄 수 있는 불확실한 미래의 사건을 의미한다 리스크 관리는 이러한 사건들에 의해 발생할 수 있는 손실을 최소화하여 기업의 시장 가치를 높이는 것이다. 또한 개별 리스크의 감소만을 추구하는 것이 아니라 성과목표 등을 고려해 수용 가능한 리스크 수준을 설정하게 된다
2. 구성요소
전사적 리스크관리(ERM)는 4가지의 목적(전략, 운영, 재무, 규정 준수)과 8가지의 구성요소로 이루어져 있다
<COSO2-Model>
2-1. 내부환경(Internal Environment)
- 조직 분위기, 제도 등의 조직문화, 회사 리스크 관리 철학
- 조직원의 능력, 경영자의 정직성, 리스크 성향, 윤리 가치
2-2. 목표설정(Objective Setting)
- 조직의 비전 추구를 위한 고차원적 전략
2-3. 위험인식(Event Identification)
- 대내외적 요인을 체계적으로 파악
- 잠재적 위험 식별
2-4. 리스크 평가(Risk Assessment)
- 리스크 발생 가능성과 영향의 2가지로 평가
- 고유위험과 잔여위험에 대한 평가를 수행
2-5. 리스크 대응(Risk Response)
- 회피, 전가, 경감, 수용
- 경영자는 리스크 허용한도와 리스크 성향을 고려하여 대응방안을 선택
2-6. 통제활동(Control Activity)
- 리스크 관리의 효과적 수행을 위한 정책과 절차
- 조직 전반에 걸쳐 모든 계층에서의 활동
2-7. 정보 및 의사소통(information & Communication)
- 내/외부에서 리스크관리 관련 정보를 인지, 획득, 공유하는 과정
2-8. 모니터링(Monitoring)
- 각 요소들이 효과적으로 수행되는지 관찰
3. 리스크 관리 프로세스
리스크 관리 프로세스는 일반적으로 총 4단계(식별, 분석 및 평가, 대응, 모니터링)로 나뉘어 있다
- 리스크 식별(Identify)
발생 시 기업에 영향을 끼칠 수 있는 잠재적 사건을 식별하고, 그것이 기회를 의미하는 것인지 혹은 부정적인 영향을 주는 것인지를 판단하는 단계
- 리스크 분석 및 평가(Analyze and Assessmen)기업에 발생할 수 있는 미래 사건이 목표 달성에 있어 어느 정도의 영향을 미칠 것인가를 파악하는 단계 (‘발생가능성’과 ‘영향도’의 2가지 관점에서 평가)
- 리스크 대응(Treatment)
식별된 리스크를 제거하거나, 축소하기 위해 적절한 대응 방안을 수립하고 실행하는 단계. 대응 활동은 크게 리스크 회피, 감소, 공유, 수용의 4가지 방식으로 이루어짐
회피 : 리스크가 발생 가능한 활동을 중단하는 것(예: 생산라인 철수, 사업부 매각 등)
감소 : 리스크의 발생가능성이나 영향력 중 하나 또는 모두를 동시에 감소시키는 것
공유 : 리스크의 일부를 이동시키거나 공유함으로써 리스크의 발생가능성 또는 영향도를 감소시키는 것
(예: 화 재보험 가입, 헷징거래, 아웃소싱 등)
수용 : 리스크의 발생가능성 또는 영향도를 줄이는 어떤 행동도 취하지 않는 것임
- 리스크 모니터링(Monitoring)
관리 대상 리스크에 대한 이상 징후를 도출하기 위해 일정한 기준에 따라 검토, 감독, 관찰하고 실행을 관리하는
일련의 활동을 수행하는 단계 모니터링 방법은 총 2가지, 상시적인 활동 또는 독립 평가. 상시적인 활동은 기업의 일반적이고 반복적인 운영 활동으로 구현되며, 실시간 원칙으로 수행되고, 변화된 조건에 동적으로 반응하여
기업 전반에 적용. 독립 평가의 범위와 빈도는 주로 상시 모니터링 절차의 효과성에 의해 결정되기 때문에, 전사적 리스크 관리의 효과성에 직접적으로 초점을 맞추면서 때때로 새로운 시간을 얻는데 유용
<리스크 관리 프로세스>
4. 리스크 관리원칙
- 리스크를 고려하는 방법에 대한 공유된 믿음과 태도
- 기업의 문화와 운영방식에 영향을 미치는 동시에 기업의 가치를 반영
- 구성원이 동의하지 않을 경우, 리스크 관리는 원활히 진행될 수 없음
- 경영자가 구두(말)로써 관리 원칙을 하는 것이 아닌 문서를 통한 방침, 행위 지침 등이 필요
- 비공식적인 대면 등 일상생활의 업무를 통하여 확고한 원칙 수립
- 처음으로 ERM 보고서를 발행하는 곳에서는 모든 부서원 대상이 아닌 각 직급의 구성원들이 일상 업무에서 리스크를 인식하고 업무 대응을 할 수 있는 수준으로 ERM 보고서를 작성하는 것이 바람직하다
- ERM 보고서를 통하여 전사 차원의 리스크 요인들을 도출한 것을 개선/혁신 과제로 연결시켜서, 모니터링이 중요한 리스크들은 지표를 통해 관리하고 개선이 필요한 리스크들은 개선/혁신 테마로 연계해 대응 방안을 모색하여 기존의 프로세스를 강화한다면 ERM 보고서를 받는 임직원의 거부감을 줄일 수 있음과 동시에 ERM 보고서에 대하여 효과적이라고 긍정적으로 받아들일 것이다
※ 주의사항
- ERM 보고서 작성에 있어서, 일부 리스크 관리 담당자들에 의한 ‘그들만의 업무’으로 진행되어서는 안된다 구축 자체에 치중하여 시스템을 구현하는 활동에만 몰입하여서도 안 된다. ERM 도입으로 어떤 변화가 발생하고 이를 어떻게 자연스럽게 전 직원들에게 수용시킬 것인지에 대한 변화 관리에 신경을 써야 한다. 현업이 가치를 느낄수 있어야 성공적인 정착과 확산이 가능하다. 이를 위해서는 구축 과정을 간과해서는 안 된다. 임직원들의 참여를 통한 모멘텀(Momentum)을 제공하여, ERM 보고서 발행 후에도 참여자들이 조직 내 확산을 위해 일정 역할을 할수 있도록 해야 한다
- ERM 보고서를 통하여 ERM의 내용이 자연스럽게 경영 시스템으로 동화(同化)될 수 있도록 해야 한다. 리스크 관리만을 위한 별도의 조직과 프로세스가 독립적으로 운영되는 것이 아니라 성과관리 시스템과 경영정보 시스템 등 기존 경영관리 시스템에 보완적으로 스며들어야 한다
내용 등이 많이 부족하지만, 본 글은 저의 공부 내용을 정리하기위해 작성한 글 입니다
더 궁금하신 분들은 아래의 COSO협회의 사이트를 접속해 주시기를 바랍니다
URL : www.coso.org